sicheres datenmanagement im automobil: eine ... · tobias hoppe, stefan kiltz, andreas lang, jana...

1

Sicheres Datenmanagement im Automobil: Eine Komponentenorientierte Sicht – 09.06.2009, Automotive Software Engineering Kolloquium an der TU Darmstadt

Sicheres Datenmanagement im Automobil: Eine Komponentenorientierte Sicht

Danksagungen: Diese Veröffentlichung entstand in Kooperation mit dem Verbundprojekt COmpetence in MObility (COMO, EU-Nr.: C-2007-5254). Der Inhalt dieser Veröffentlichung steht in alleiniger Verantwortung der Autoren und widerspiegelt somit in keiner Weise die Meinung der Europäischen Union.

Prof. Dr.-Ing. Jana Dittmann

AG Multimedia and SecurityInstitut für Technische und Betriebliche Informationssysteme (ITI)

Fakultät Informatik (FIN) Otto-von-Guericke Universität Magdeburg


Gliederung

• Einleitung und Motivation– COMO Teilprojekt B3: IT-Security Automotive

– Beispiel Simulation zu Wurmepidemien: vom WLAN zum Automobil

– Basisangriffe

• Methodik zur ganzheitlichen, pauschalisierten Betrachtung des Automobils und seines Umfelds– Pauschalisierung automotiver Systeme/Komponenten

– Modellierung von Objekten und Beziehungen

– Analyse von Sicherheitsanforderungen in Funktionsnetzentwürfen

– Formalisierung der Sicherheitsanforderungen

– Beispielhaftes Szenario eines automotiven integrierten Navigationssystems

• Zusammenfassung und Ausblicksiehe dazu auch die Veröffentlichung:

Sandro Schulze, Tobias Hoppe, Jana Dittmann, Gunter Saake: Pauschalisierte Sicherheitsbetrachtungen automotiver Systeme, erscheint in D.A.CH Security 2009, Ruhr-Universität Bochum, 19. und 20. Mai 2009


• IT-Sicherheit im Automobilbereich – warum?– Zunehmende Komplexität automotiver IT und Vernetzung. Klare

Trends:• Ablösung mechanischer Komponenten durch elektronische Varianten

(X-by-Wire)

• drahtlose Kommunikation (Bluetooth, GSM, RFID, WLAN, C2C, C2I, …)

– Langfristig ganzheitliche Konzepte automotive IT-Securityerforderlich

– Absichtliche Angriffe auf automotive IT und Besonderheiten verglichen mit Desktop-IT ...

Einleitung und Motivation


• Absichtliche Angriffe auf automotive IT und Besonderheiten verglichen mit Desktop-IT:– Eingriffe können neben Beeinträchtigung des Komforts auch

weiterreichende Einflüsse bis hin auf die Gesundheit und Leben der Verkehrsteilnehmer haben (Wechselwirkungen Safety vs. Security). Beispiele für Safety-kritische Komponenten: Energie- und Antriebssysteme, Airbag-Systeme etc.

– Breites Spektrum von Angreifern und ihrer Motivationen: Tuner/Besitzer, Wettbewerber, Hacker, Spione, Saboteure, etc. (Betrachtung nach CERT)

– Angriffsobjekt ist oft in voller physischer Kontrolle des Angreifers! (ähnlich Geldkarte) oder zukünftig direkt vernetzt: C2C, C2X, ...

– Kaum Erfahrungswerte zu computerforensischen Aufklärungen bei automotiver IT



• Es ist zunehmend mit Angriffen auf die IT-Sicherheit zu rechnen!

• Beispiele:– Infektion eines Lexus-Onboard-Computers über ein Mobiltelefon

– Angriff auf TMC-Daten: Einspielen gefälschter Verkehrsinfos über UKW

– Km-Standsanzeigenmanipulation• Höherer Wiederverkaufswert• Serviceintervallverlängerung

– „TV in motion hack“ [TIM09] z.B. Vortäuschen des Handbremsensignals• Entfernen von TV-Restriktionen • Safety-Risiko durch unerwartete Lenkschloßauslösung/verriegelung

– Manipulation von Hybridfahrzeugen [HYH06], z.B. Umgehen der Energiestatusprüfung


[Kas05] Eugene Kaspersky: Viruses coming aboard?, Viruslist.com Weblog-Eintrag vom 24.1.2005, http://www.viruslist.com/en/weblog?discuss=158190454&return=1

[BB07] Andrea Barisani, Daniele Bianco: Unusual Car Navigation Tricks: Injecting RDS-TMC Traffic Information Signals, CanSecWest Vancouver 2007

[TIM09 ]Vertreiber von TV-In-Motion Manipulationskits, z.B. http://www.tv-in-motion.co.uk

[HYH09] Hack Your Hybrid – Activate EV Stealth Mode, Get Rid of the BEEP, and More!, http://www.treehugger.com/files/2006/01/hack_your_hybri.php


2007:Andreas Lang, Jana Dittmann, Stefan Kiltz, Tobias Hoppe: Future Perspectives: The Car and its IP-Address - A Potential Safety and Security Risk Assessment; In: Computer Safety, Reliability, and Security, Proceedings of the 26th International Conference SAFECOMP 2007, S. 40-53, Springer LNCS 4680, ISBN 978-3-540-75100-7, Safecomp 2007, Nürnberg, September 2007Tobias Hoppe, Stefan Kiltz, Andreas Lang, Jana Dittmann: Exemplary Automotive Attack Scenarios: Trojan horses for Electronic Throttle Control System (ETC) and replay attacks on the power window system; In: Automotive Security - VDI-Berichte Nr. 2016, Proceedings of the 23. VDI/VW Gemeinschaftstagung Automotive Security, S. 165-183, VDI-Verlag, ISBN 978-3-18-092016-0, 23. VDI/VW Gemeinschaftstagung, Wolfsburg, November 2007

2008:Tobias Hoppe, Jana Dittmann: Vortäuschen von Komponentenfunktionalität im Automobil: Safety- und Komfort-Implikationen durch Security-Verletzungen am Beispiel des Airbags; In: Sicherheit - Schutz und Zuverlässigkeit; Beiträge der 4. Jahrestagung des Fachbereichs Sicherheit der Gesellschaft für Informatik e.V. (GI), S. 341-353, ISBN 978-3-88579-222-2, Sicherheit 2008, Saarbrücken, April 2008Tobias Hoppe, Stefan Kiltz, Jana Dittmann: Security threats to automotive CAN networks – practical examples and selected short-term countermeasures; In: Computer Safety, Reliability, and Security, Proceedings of the 27th International Conference SAFECOMP 2008, S. 235-248, Springer LNCS 5219, ISBN 978-3-540-87697-7, Safecomp 2008, Newcastle/UK, September 2008Tobias Hoppe, Stefan Kiltz, Jana Dittmann: Automotive IT-Security as a Challenge: Basic Attacks from the Black Box Perspective on the Example of Privacy Threats; In: escar - Embedded Security in Cars, 6th Conference, escar 2008, Hamburg, November 2008

2009:Michael Biermann, Tobias Hoppe, Jana Dittmann, Sandro Schulze, Gunter Saake: Adaption des Szenarios einer WiFi-Wurm-Epidemie auf den Automotive-Bereich zur Sensibilisierung für und Aufklärung über das Bedrohungspotential, erscheint in: 11. Deutscher IT-Sicherheitskongress des BSI, BSI-Sicherheitskongress 2009, Bonn, Mai 2009

Einleitung und MotivationAngriffe...

2


Classification of attacks on automotive IT usingan adapted CERT taxonomy


Adaption von WiFi Wurm-Epidemien auf C2C

Hu et al: WiFi Epidemiology: Can Your Neighbors‘ Router Make Yours Sick?[Hu08]

Biermann et al: Adaption des

Szenarios einer WiFi-Wurm-Epidemie auf den Automotive-Bereich zur Sensibilisierung und Aufklärung [Bie08]


Legende: Rot: Infizierbar, infiziertGrün: Infizierbar, nicht infiziert

GelbGelb: Nicht infizierbar (Sichere Implementierung bzw. kein C2C)



COMO Teilprojekt B3: IT-Security AutomotiveZiele und Schwerpunkte

• OvGU Forschungsschwerpunkt Automotive, Competence in Mobility (COMO)• B3 betrachtet die Sicherheit von automotiven Systemen insbesondere unter dem

Blickwinkel absichtlicher Angriffe (Prof. Dittmann, Prof. Saake, Prof. Jumar)• Konkreten Arbeitspakete:

– AP 1: Bedrohungsanalyse und Erarbeitung pauschalisierter Richtlinien und Designpattern

– AP 2: Entwurf und Bearbeitung von Beispielszenarien• AP 2.1: Multimodale biometrische Authentifizierungssysteme am Beispiel von Gesichts- und

Sprechererkennung• AP 2.2: Sicheres automotives Datenmanagement: Domänenanalyse am konkreten Beispiel des

adaptiven Fahrwerks• AP 2.3: C2C-Kommunikation: Designpattern für sichere

berührungslose Kommunikation

– AP3: Evaluierung und Verifikation der entwickelten Pauschalisierungen, Restrisikoabschätzung


Multimodale biometrische Authentifizierungssysteme am Beispiel von Gesichts- und Sprechererkennung

p : Driver

m1 : Facem2 : Speechm3 : Weight

u : Environment

u1 : Ambient Noiseu2 : Illuminationu3 : Seat Usageu4 : Window Positionu5 : Speed

f: Vehicle

Matching of Face: MS1

s4 : Lightsensor

Rejection of Driver/Spoken Command: p ∉ Z ⇒ p ∈ A

Authorization of Driver/Spoken Command: p ∈ Z

s1 : Camera

s2 : Micro

Bio.-Sensors

s3 : Seat Usage Padwith Weight Sensor

Lips MovementAnalysis: B1

Matching ofSpeech: MS2

None Bio.-Sensors

DynamicMatching-

Score-Fusion:

MSfus = B1⋅B2⋅( V1⋅W1⋅MS1 +V2⋅W2⋅MS2 +V3⋅W3⋅MS3 )

s5 : Window Position

Matching ofWeight: MS3

MSfus < τ

MSfus ≥ τ

Determination of NoiseLevel: V2

s6 : Speed-Sensor

Lighting-Analysis: V1

Noise Filter

Seat Usage-Analysis: B2

Constants: W1, W2, W3, V3

Faces,Speech

And Weights

Bio.-DB


COMO B3: Laborausstattung

Den praktischen Bezug der Arbeiten unterstützen Laboraufbauten automotiver IT-Komponenten aus verschiedenen Fahrzeugen großer internationaler Hersteller (z.B. Baujahre 2005, 2007) und automotive Entwicklungs- und Diagnoseprodukte• Hersteller A, Baujahr 2004, CAN/LIN (siehe Bild), Hersteller A, Baujahr 2005, CAN/LIN• Hersteller B, Baujahr 2007, CAN/MOST

3


Normaler Datenfluss

Informations-quelle

Informations-ziel

Unterbrechen

Informations-quelle

Informations-ziel

Lesen & Kopieren

Angreifer

Informations-ziel

Informations-quelle

Modifizieren

Informations-ziel

Informations-quelle

Angreifer

Stehlen & Löschen

Informations-ziel

Informations-quelle

Angreifer

Erzeugen

Informations-ziel

Informations-quelle

Angreifer

Testen & Sondieren

Informations-quelle

Informations-ziel

Angreifer

Überfluten

Informations-quelle

Informations-ziel

Angreifer

Informations-ziel

Informations-quelle

Angreifer

Spoofen

...

Grundlegende Angriffsstrategien und derenKombination

Black-, Grey- und White-Box testingSicheres Datenmanagement im Automobil: Eine Komponentenorientierte Sicht – 09.06.2009, Automotive Software Engineering Kolloquium an der TU Darmstadt

Funktionale Sicherheit, IT-Sicherheit undKomfort

keine Ablenkung des Fahrersvollautomatische Bedienung des SystemsKS2

teilweise Ablenkung des Fahrershalbautomatische Bedienung des SystemsKS1

volle Ablenkung des FahrersManuelle Bedienung des SystemsKS0

katastrophale Unfälle zu vermeiden.SIL 4

ernsthafte Unfälle zu vermeiden, die zahlreiche Todesopfer nach sich ziehenSIL 3

ernsthaftere, aber im Ausmaß limitierte, Vorfälle zu vermeidenSIL 2

geringfügige Unfälle zu vermeidenSIL 1

• Funktionale Sicherheit

• IT-Sicherheit– Vertraulichkeit (C)

– Integrität (I)

– Verfügbarkeit (A)

– Nicht-Abstreitbarkeit (N)

– Authentizität (U)

• Komfortstufen


• Warum Pauschalisierung der Sicherheitsbetrachtungen?– Abstrakte Sicht auf funktionale und strukturelle Zusammenhänge

– Nicht abhängig von konkreten Implementierungen

– Konzept: mehrstufige Methodik – ein erster Ansatz• Pauschalisierung: durch Modellierung des Automotiven Systems (AS) bzw.

dessen Einflussfaktoren

• Formalisierung: durch beschreibende Gleichungen

– Pauschalisierung auch von Angriffen möglich (Kombination von fünf Basisangriffen)


Infrastruktur

KlimaRecht

Kultur

Umfeld/UmweltPersonen

Technik Umfeld

Automotive


MotorGetriebe

BussystemeCAN, LIN, MOST

ZugangSteuerung

Verfügbarkeit, Integrität, Authentizität

Verfügbarkeit, Integrität, Authentizität

Verfügbarkeit, Integrität, Authentizität,Nachweisbarkeit,Vertraulichkeit

VertraulichkeitIntegrität � Verfügbarkeit

Automotive pauschalisiertTechnisches Versagen– Rückführung auf Schwachstellen und Sicherheitsaspekte

Implementierung

Konfiguration

Design

Implementierung

Konfiguration

Design

Implementierung

Konfiguration

Design

Implementierung

Konfiguration

Design


Pauschalisierung automotiver Systeme

• Ansatz:– Definition abstrakter Sichten und Bausteine (analog zu BSI

Grundschutz) speziell für das Anwendungsgebiet Automobil

• Pauschalisierte, formale Darstellung von– technischen Eigenschaften und Zusammenhängen automotiver

Systeme - Technik– Wechselwirkungen / Interaktionen mit dem Menschen– übergreifender Randbedingungen des Umfelds

• Ziele:– Beschreibung von Objekten aus dem automotiven Umfeld– Beschreiben und Identifizieren von Beziehungen:

• Szenarien, Gefahren (Safety + Security)

– Abschätzung von Gefährdungswahrscheinlichkeiten und -potenzial– als Unterstützung bei der Definition von Schutzmaßnahmen


Pauschalisierung und Modellierung vonObjekten und Beziehungen

• Baumstruktur mit Bausteinen eines Automotiven Systems (AS) zur Beschreibung von Objekten und deren Beziehungen

1 Personen

2 Technik

3 Umfeld

1.1 Rolle

1.2 Personen-bez. Daten

2.1 Hardware/ Elektronik

2.2 Software

3.1 Ort

3.3 Verkehr

1.1.1 Insassen 1.1.1.1 Fahrer

1.1.1.2 Mitfahrer

1.2.1 Biologisch

1.2.3 Kulturell

1.2.1.1 Alter

1.2.1.2 Geschl.

1.2.1.1.1 0-10

1.2.1.1.2 10-20

…

…

…

…

…

…

2.1.1 Sensoren

2.1.2 Aktoren

2.1.3 Steuergeräte…

2.2.1 Daten

2.2.2 Code…

…

…

3.1.1 geographisch

3.1.2 fahrzeuglokal

…

…

2.1.1.5 Finger-abdrucksensor

1.2.1.1.3 20-30

1.2.1.2.1 männl.

1.2.1.2.2 weibl.

2.2.1.3 Datenart…

2.2.1.3.1Betriebsdaten

2.2.1.3.2 Info-tainmentdaten

…

…

2.1.3.2 Elemente…

2.1.3.1 Art 2.1.3.2.2Speicherchips

…

…

1.1.2 Nicht-Insassen

…

…

…

…

…

……

…

…

…

…

…

3.1.2.1 Innenraum

3.1.2.2 Außenraum …

3.5 Recht…

…

3.5.1 national

3.5.2 international

…

…

…

ASBeschreibung von Objekten:„Die Gruppe alle männlichen Fahrer zwischen 20 und 30 J.“

(1.1.1.1 : 1.2.1.1.3 : 1.2.1.2.1)

Beschreiben von Beziehungen (Szenarien, Gefährdungen):Je nach Sicht verschiedene Beziehungsarten darstellbar:

• Interaktion (zwischen Person/Technik)• Konzeption (Technik/Umfeld)• Bedarf (Person/Umfeld)

Gefährdung: „allgemeiner Anwenderfehler“{(1.1.1)(2)}

Interaktionsszenario: „Die 22-jährige Fahrerin interagiert

mit dem Sensor der biometrischen Authentifizierung“{(1.1.1.1 : 1.2.1.1.3 : 1.2.1.2.2)(2.1.1.5)}

4


Beschreibung bedrohter Komponenten und ihrer gegenseitigen Abhängigkeiten

• Grundlage: Logische Sicht auf die Struktur automotiver Systeme– Abstrahieren von der detaillierten Struktur– Möglichkeit der Beschränkung auf Teilfunktionalitäten

• Modellierung von (Teil-)Funktionalitäten im AS durch Funktionsnetze (von Komponenten aus Abb. 1)

• Knoten: Komponenten des AS– Aus den Sichten Technik, Mensch, Umfeld

• Gerichtete Kanten: Datenfluss zwischen den Knoten (je Datum)• Mögliche Rollen eines Knotens (pro Datum)

– Provider: Bietet das Datum an bzw. leitet es weiter (Sender),• PR für dessen anforderbare Schutzziele (Sicherheitsaspekte)

– Consumer: Nimmt ein Datum entgegen (Empfänger)• CR für dessen anforderbare Schutzziele (Sicherheitsaspekte)

– Ein Knoten kann mehrere Rollen einnehmen


Beispiele für Anwendungsdomänen

Wartung/Diagnose

• Werkstatt-Tester

• Abgas-Tester

• Fertigungs-Tester

Modellierung von Funktionsnetzen z.B. zu Funktionalitäten aus den Anwendungsdomänen:

Triebstrang/Fahrwerk

• Motorsteuerung

• Getriebesteuerung

• Fahrwerk

• ABS

• ESP

• Servolenkung

• Abstandsregelung

• …

Karosserie / Komfort

• Klimaanlage

• Scheibenwischanlage

• Bordnetz

• Sitzsteuerung und -heizung

• Lichtanlage

• Schließsystem

• Wegfahrsperre

• Schwingungs- und Schallreduktion

• …

Infotainment

• Instrumentenkombination

• Kassetten / CD-Radio

• CD/DVD Navigation

• Telefon / Freispreicheinrichtung

• TV-System

• Car-PC, Internet

C2X

• C2C

• C2I


Beispielhaftes Funktionsnetz

• Abstrahierte, logische Sicht auf ein integriertes Navigationssystem

Navigations-Einheit

Eingabe-steuerung

Mensch

Bedien-element

LCDMonitor

Audio Subsystem

Video Subsystem

Laut-sprech

er

Fahrtz

iel

Fahrtziel

Fahrtziel

Route

GPS-Antenne

Pos

ition

UKW-Antenne

Verkehrsinfo

VerkehrsinfoRouteVerkehrsinfo

Route

Route

Verkehrsinfo

Verkehrsinfo

RouteVerkehrsinfoRoute

Verkehrsinfo UKW-Station

Umfeld

Anwendungs-Einheit

Sensor/Eingabe

Aktor/Ausgabe

Mensch

Umfeld

Satel-liten


Propagation von Sicherheitsanforderungen in Funktionsnetzentwürfen

• Je nach Datum können gewisse Schutzziele gefordert sein• Die Funktionsnetzmodellierung hilft bei

� der Identifikation der betroffenen Komponenten� Dem Ableiten weiterer Anforderungen, die die Sicherstellung der

Schutzeigenschaften unterstützen

• Beispiel 1: Anforderung „Vertraulichkeit“:– In der Regel von der Quelle des Datums gestellt, die Empfänger

• müssen über geeignete Maßnahmen für die Vertraulichkeit des Datums sorgen.• übernehmen die Schutzanforderung und dürfen das Datum (oder abgeleitete

Werte, die zurückschließen lassen) nur in geschützter Form weiterübermitteln.

• Beispiel 2: Anforderung „Integrität“:– In der Regel vom Empfänger eines Datums gestellt, die Sender

• müssen geeignete Maßnahmen zur Überprüfbarkeit der Integrität bereitstellen.• müssen die Anforderung für alle relevanten Eingabedaten übernehmen, die so an

deren Quellen weitervererbt wird.


Propagation von Sicherheitsanforderungen in Funktionsnetzentwürfen - Beispiele

Navigations-Einheit

Eingabe-steuerung

Mensch

Bedien-element

LCDMonitor

Audio Subsystem

Video Subsystem

Laut-sprech

er

Fahrtz

iel

Fahrtziel

Fahrtziel

Route

GPS-Antenne

Pos

ition

UKW-Antenne

Verkehrsinfo

VerkehrsinfoRouteVerkehrsinfo

Route

Route

Verkehrsinfo

Verkehrsinfo

RouteVerkehrsinfoRoute

Verkehrsinfo UKW-Station

Umfeld

Anwendungs-Einheit

Sensor/Eingabe

Aktor/Ausgabe

Mensch

Umfeld

Satel-liten

Beispiel: Vertraulichkeit

Beispiel: Integrität


Relevanz von Sicherheitsmodellen

• Beispiel zeigt: Aussagen zu Aspekten des Zugriffsschutzes anhand des Informationsflusses möglich

• Beachte: Relevanz von formalen Sicherheitsmodellen, z.B.

– Multi-Level Sicherheitsmodelle

�Bell-LaPadula (Vertraulichkeit), Biba (Integrität)

• Potentielle Eignung im automotiven Kontext, z.B:

– Zuweisung von Schutzstufen an Daten und Komponenten

– Multilaterale und weitere Sicherheitsmodelle

�Chinese-Wall, Clark-Wilson

• Berücksichtigung, dass viele Komponenten unterschiedlichen Informationsflüssen beteiligt sind

� Gegenstand weiterer Forschung

5


Formalisierung: Ziel und Ansatz

• Ziel: Aussagen über Schutzziele von Daten (Ressourcen) auf den einzelnen Komponenten mit formalen Mitteln

• Idee: Funktionsnetze (log. Sicht) um Schutzziele ergänzen

• Abhängigkeiten im Funktionsnetz für Delegation der Schutzziele ausnutzen

• Abstraktion des Funktionsnetzes zu einem gerichteten Graphen � Graphentheorie anwendbar

• Schutzziele in unterschiedlicher Granularitätbestimmbar einschließlich erforderliches Schutzniveau


Formalisierung: Basisdefinitionen

• Menge aller Knoten (vertices) im AS-Baum V = {v1,…vnv}

– z.B. ECU, Sensor, Aktor):

• Menge aller (ausgetauschten) Daten (data) D = {d1,…dnd}

• Menge aller Kanten (edges): E = {e1,…ene} mit– dem Tripel ei={vj, vk, di} als eine bestimmte Kante (edge)

– {vj,vk}∊E = verbundene Knoten– d das kommunizierte Datum

• Menge aller Graphen (graph) : G = {G1,…Gng} mit

– Gm = {Vm⊂V, Em⊂E, sm, tm, dm∊D} als ein Graph zu einem Datum dm

– den Funktionen sm, tm: E↦V, die den Kanten ihren Quell (source) bzw. Zielknoten (target) zuordnen

• Menge aller Funktionsnetze F = {f1,…, fnf} mit fi = {Gi⊂G} als einzelnes Funktionsnetz (function net)

• Menge der Schutzziele (security aspects): S = {C, I, A, U, N, P}


Formalisierung: Basisdefinitionen (cont.)

• Schutzziele durch Datenfluss im FN tlw. gegeben

• Anforderbare Schutzziele für die Knotentypen, z.B.:

• Consumer � CR ⊂ S = S / {C, P}

• Provider � PR ⊂ S = S / {I, A, U}

Provider, ggf. ConsumerProviderDatenschutz (P; Privacy)

BeideBeideNichtabstreitbarkeit (N; Non-repudiation)

BeideConsumerAuthentizität (U; Authenticity)

ProviderConsumerVerfügbarkeit (A; Availability)

BeideConsumerIntegrität (I; Integrity)

BeideProviderVertraulichkeit (C; Confidentiality)

Maßnahmenmeist durch

Anforderungmeist von

Schutzziele (Sicherheitsaspekte)


• Voraussetzung: Funktionsnetze für das gesamte AS sind erstellt

• Jedes Funktionsnetz pro Datum in Graphen zerlegen

• Ziel: Formale Bestimmung der Schutzziele für alle Knoten

• Beispiel: Graph mit technischen Komponenten zum Datum „Fahrtziel“ (df):

Formalisierung: Bestimmung der Schutzziele -Eine datenorientierte Sichtweise

Aus dem Graph ergeben sich:• Knotentypen (P=Provider, C=Consumer) für dasbetrachtete Datum

• Unmittelbare Relevanz des Schutzziels relNT(vi,s

j)

� sj�CR bzw. s

j�PR ?

Weitere Schritte:• Festlegen notwendiger Schutzziele für initialeKnoten mittels necvi,dj(sk)

• Iterative Weitervererbung der Schutzziele desDatums auf weitere Knoten über delegate(vn,vm,si)

relNT(v2,s1)=1 relNT(v5,s1)=1

relNT(v8,s1)=0

necv2,df(s1)=1 necv5,df(s1)=1

necv8,df(s1)=0

PP,C

C

Navigations-Einheit

Eingabe-steuerung

Bedien-element

Fahrtziel df

Fahrtziel df

v2 v5

v8

Gf = {Vf ⊂V, Ef⊂E , sf , tf , df �

D}

• Anschließend: Graphen wieder zum Funktionsnetz zusammenführen

• Welche Knoten sollten welche Maßnahmen implementieren? � Funktion fulfill

�Teil weiterer Forschung. Im Beitrag: erster Brute-Force-Ansatz


Zusammenfassung/Ausblick

• Zusammenfassung:– Pauschalisierung von Bausteinen automotiver Systeme zur Modellierung

von Objekten und Beziehungen– Aufbauende Spezifikation von datenorientierten Funktionsnetzen und

Untersuchungen zu Sicherheitsanforderungen und –modellen– Formalisierung und Anwendung zur Ermittlung von Schutzzielen

• Ausblick:– Generell:

• Nähere Einbeziehung von Sicherheitsmodellen• Demonstration an weiteren Anwendungsbeispielen, z.B. Nutzen für

Datenschutz bei der Integration automotiver biometrischer Anwendungen

– Formalisierung:• Abdecken von abgeleiteten Daten• Schutzziele ganzheitlich, semi-automatisch zu erfassen• Erweiterte Graphenmodelle (z.B. attributierte Graphen)• Berücksichtigung von Schutzmaßnahmen


2007:[1] Andreas Lang, Jana Dittmann, Stefan Kiltz, Tobias Hoppe: Future Perspectives: The Car and its IP-Address - A Potential Safety and Security Risk Assessment; In: Computer Safety, Reliability, and Security, Proceedings of the 26th International Conference SAFECOMP 2007, S. 40-53, Springer LNCS 4680, ISBN 978-3-540-75100-7, Safecomp 2007, Nürnberg, September 2007[2] Tobias Hoppe, Jana Dittmann: Sniffing/Replay Attacks on CAN Buses: A Simulated Attack on the Electric Window Lift Classified using an Adapted CERT

Taxonomy; In: CD-Proceedings of the 2nd Workshop on Embedded Systems Security (WESS’2007), A Workshop of the IEEE/ACM EMSOFT’2007 and the Embedded Systems Week, WESS 2007, Salzburg, Oktober 2007[3] Tobias Hoppe, Stefan Kiltz, Andreas Lang, Jana Dittmann: Exemplary Automotive Attack Scenarios: Trojan horses for Electronic Throttle Control System (ETC) and replay attacks on the power window system; In: Automotive Security - VDI-Berichte Nr. 2016, Proceedings of the 23. VDI/VW Gemeinschaftstagung

Automotive Security, S. 165-183, VDI-Verlag, ISBN 978-3-18-092016-0, 23. VDI/VW Gemeinschaftstagung, Wolfsburg, November 2007

2008:[4] Sandro Schulze, Stefan Kiltz, Tobias Hoppe, Jana Dittmann: Modelling Data Requirements for a Secure Data Management in Automotive Systems; In: Tagungsband des Workshops "Modellbasierte Entwicklung von eingebetteten Fahrzeugfunktionen", Modellierung 2008, Berlin, März 2008[5] Andrey Makrushin, Jana Dittmann, Stefan Kiltz, Tobias Hoppe: Exemplarische Mensch-Maschine-Interaktionsszenarien und deren Komfort-, Safety- und

Security-Implikationen am Beispiel von Gesicht und Sprache; In: Sicherheit - Schutz und Zuverlässigkeit; Beiträge der 4. Jahrestagung des Fachbereichs Sicherheit der Gesellschaft für Informatik e.V. (GI), S. 315-327, ISBN 978-3-88579-222-2, Sicherheit 2008, Saarbrücken, April 2008[6] Tobias Hoppe, Jana Dittmann: Vortäuschen von Komponentenfunktionalität im Automobil: Safety- und Komfort-Implikationen durch Security-Verletzungen am Beispiel des Airbags; In: Sicherheit - Schutz und Zuverlässigkeit; Beiträge der 4. Jahrestagung des Fachbereichs Sicherheit der Gesellschaft für Informatik e.V. (GI), S. 341-353, ISBN 978-3-88579-222-2, Sicherheit 2008, Saarbrücken, April 2008[7] Tobias Hoppe, Stefan Kiltz, Jana Dittmann: IDS als zukünftige Ergänzung automotiver IT-Sicherheit; In: DACH Security 2008; Bestandsaufnahme, Konzepte,

Anwendungen, Perspektiven, S. 196-207, Syssec,, ISBN: 978-3-00-024632-6, DACH Security 2008, Berlin, Juni 2008,[8] Tobias Hoppe, Stefan Kiltz, Jana Dittmann: Adaptive Dynamic Reaction to Automotive IT Security Incidents using Multimedia Car Environment; In: The

Fourth International Symposium on Information Assurance and Security (ias 2008), S. 295-298, IEEE computer society, ISBN: 0-7695-3324-7, ias 2008, Neapel/Italien , September 2008[9] Michael Biermann, Tobias Hoppe, Jana Dittmann, Claus Vielhauer: Vehicle Systems: Comfort & Security Enhancement of Face/Speech Fusion with Compensational Biometrics; In: MM&Sec'08 - Proceedings of the Multimedia and Security Workshop 2008,S.185-194, ACM, ISBN 978-1-60558-058-6, MM&Sec’08, Oxford/UK, September 2008[10] Tobias Hoppe, Stefan Kiltz, Jana Dittmann: Security threats to automotive CAN networks – practical examples and selected short-term countermeasures; In: Computer Safety, Reliability, and Security, Proceedings of the 27th International Conference SAFECOMP 2008, S. 235-248, Springer LNCS 5219, ISBN 978-3-540-87697-7, Safecomp 2008, Newcastle/UK, September 2008[11] Tobias Hoppe, Stefan Kiltz, Jana Dittmann: Automotive IT-Security as a Challenge: Basic Attacks from the Black Box Perspective on the Example of

Privacy Threats; In: escar - Embedded Security in Cars, 6th Conference, escar 2008, Hamburg, November 2008

6


2009:[12] Sandro Schulze, Mario Pukall, Gunter Saake, Tobias Hoppe, Jana Dittmann: On the Need of Automotive Data Management; In: Proceedings 13. GI-Fachtagung Datenbanksysteme für Business, Technologie und Web (BTW), Lecture Notes in Informatics. Gesellschaft für Informatik (GI), Münster, März 2009[13] Michael Biermann, Tobias Hoppe, Jana Dittmann, Sandro Schulze, Gunter Saake: Adaption des Szenarios einer WiFi-Wurm-Epidemie auf den Automotive-Bereich zur Sensibilisierung und Aufklärung; In: Sichere Wege in der vernetzten Welt: Tagungsband zum 11. Deutschen IT-Sicherheitskongress; SecuMedia Verlag Ingelheim,

ISBN 978-3-922746-97-3, Mai 2009[16] Sandro Schulze, Tobias Hoppe, Jana Dittmann, Gunter Saake: Pauschalisierte Sicherheitsbetrachtungen automotiver Systeme; In: Patrick Horster (Ed.), DACH

Security 2009; Bochum; 19./20. Mai 2009;[15] Sandro Schulze, Mario Pukall, Tobias Hoppe: IT Security in Automotive Software Development; Erscheint in: Workshop der Gesellschaft für Informatik(GI)

Entwicklung zuverlässiger Software-Systeme, 18. Juni 2009, Regensburg[14] Tobias Hoppe, Stefan Kiltz, Jana Dittmann: Automotive IT-Security as a Challenge: Basic Attacks from the Black Box Perspective on the Example of Privacy Threats;

To appear in: The 28th International Conference on Computer Safety, Reliability and Security - SAFECOMP 2009, Hamburg, Germany, 15-18 September 2009;

sicheres datenmanagement im automobil: eine ... · tobias hoppe, stefan kiltz, andreas lang, jana...

Documents